Weblate — это веб-инструмент локализации. В версиях до 5.17 API задач не проверял доступ пользователей к ожидающим задачам. Это может привести к тому, что журналы выполняющихся операций станут доступны пользователям, у которых нет доступа к заданной области.
Злоумышленнику необходимо подобрать случайный UUID задачи, поэтому использование этой возможности маловероятно с ограничениями скорости API по умолчанию. Эта проблема исправлена в версии 5.17.
Показать оригинальное описание (EN)
Weblate is a web based localization tool. In versions prior to 5.17, the tasks API didn't verify user access for pending tasks. This could expose logs of in-progress operations to users who don't have access to given scope. The attacker needs to brute-force the random UUID of the task, so exploiting this is unlikely with the default API rate limits. This issue has been fixed in version 5.17.
Характеристики атаки
Последствия
Строка CVSS v3.1